HTB-Escape

HTB-Escape

  • 信息收集
  • 立足
  • sql_svc -> Ryan
  • Ryan -> Administrator
  • 扩展
    • NTLM简单介绍

HTB-Escape_第1张图片

信息收集

HTB-Escape_第2张图片
HTB-Escape_第3张图片

HTB-Escape_第4张图片
可以从中获取两个域名。
在这里插入图片描述

看看 rpc服务是否有可以收集的信息。
HTB-Escape_第5张图片

看看samba。
HTB-Escape_第6张图片
rpc的Public共享文件有一个关于SQL Server的pdf。
HTB-Escape_第7张图片

阅读它!
HTB-Escape_第8张图片

从中能得到几个用户名Brandon、Ryan、Tom。还有一个可能的新用户的凭证:PublicUser:GuestUserCantWrite1。想通过crackmapexec来试试连接。
在这里插入图片描述
用法是对的,但是不知道为什么用户名一直没有变化。
在这里插入图片描述

使用impacket-mssqlclient。
HTB-Escape_第9张图片
使用help获取帮助。

HTB-Escape_第10张图片
额,不能执行xp_cmdshell。

在这里插入图片描述

使用enable_xp_cmdshell开启也没有权限。
在这里插入图片描述

试试能不能在数据库里发现什么。获取数据库:SELECT name FROM master.dbo.sysdatabases;
HTB-Escape_第11张图片
似乎不能通过收集数据库的信息来。额,试试中继攻击。
HTB-Escape_第12张图片

HTB-Escape_第13张图片
将哈希复制到文件夹并使用john或hashcat尝试破解(sql_svc开头那一段都是hash)。
HTB-Escape_第14张图片

使用凭证sql_svc:REGGIE1234ronnie登录samba收集信息。哈哈,啥都收集不到。还是看看winrm吧。
在这里插入图片描述

立足

使用evil-winrm登录。
HTB-Escape_第15张图片

开始漫长的信息收集之旅,还记得前面我们在pdf中发现的Ryan么?
HTB-Escape_第16张图片

可能我们会先搞定Ryan用户。

sql_svc -> Ryan

目标很明确,首先去看看MSSQL的相关信息。
HTB-Escape_第17张图片
可能Ryan用户在登陆的时候发现密码输入错误决定重新输入,结果失误导致密码直接当成用户输入,被日志记录下来。
在这里插入图片描述
试一试吧。
在这里插入图片描述
HTB-Escape_第18张图片

Ryan -> Administrator

弄了半天没发现什么新的收获,可以跟着这个checklist走一遍看看。额,大致走了一遍回来发现啥都没有发现。
HTB-Escape_第19张图片

可能提权的方向要向AD靠拢。在一段尝试之后,发现证书可能存在易损版本。
HTB-Escape_第20张图片

HTB-Escape_第21张图片

Certify.exe request /ca:dc.theshire.local-DC-CA /template:VulnTemplate /altname:localadmin

HTB-Escape_第22张图片
修改对应部分的值:
HTB-Escape_第23张图片

C:\Users\Ryan.Cooper\Documents\Certify.exe request /ca:dc.theshire.local-DC-CA /template:VulnTemplate /altname:localadmin

看起来遇见了问题。
HTB-Escape_第24张图片
更换了一个Cerity后正常。
HTB-Escape_第25张图片

在这里插入图片描述
将cert.pem的内容复制下来到攻击机上,然后在攻击机上执行下面的命令。

openssl pkcs12 -in cert.pem -keyex -CSP "Microsoft Enhanced Cryptographic Provider v1.0" -export -out cert.pfx

密码我设置为空。
HTB-Escape_第26张图片

上传pfx文件。
HTB-Escape_第27张图片

继续跟着走。HTB-Escape_第28张图片
因为密码是空,所以没有使用/password: 。

HTB-Escape_第29张图片

成功通过Administrator的身份认证后,发现似乎作用不怎么大。经过搜索发现可以通过/getcredentials获取管理员的NTLM。
在这里插入图片描述
HTB-Escape_第30张图片

扩展

NTLM简单介绍

首先在Microsoft官网文档可以看到NTLM。先把注意力放在左边,NTLM的上一级是SSP,SSP的上一级是SSPI。
HTB-Escape_第31张图片

看看官文对SSPI的介绍。

HTB-Escape_第32张图片

SSP

在这里插入图片描述

又出来一个新的名词安全包

在这里插入图片描述
看的有点迷糊,以我这个脑子只能理解个大概,对我而言太抽象了。简单来说SSPI定义一个接口,SSP来实现这个接口。SSP是一个dll文件,可以自己编写属于自己的SSP。

再来看看NTLM,官网的中文版文档翻译总是怪怪的。
HTB-Escape_第33张图片
简单来说:
NTLM是一种身份验证,它使用质询/响应(challenge/response)的验证机制。它的验证流程如下图所示:
HTB-Escape_第34张图片
太好了,大致知道了NTLM的验证过程。那么前面是如何利用smb服务来对MSSQL进行中继攻击的?


首先需要知道几个名词。
LLMNR(Link Local Multicast Name Resolution)链路本地多播名称解析,在网络中如果主机尝试对特定主机进行解析,但可能因为某些原因导致DNS不可用或者错误的输入了主机名时,主机会对当前网络中的其他主机使用LLMNR进行通信询问对方是否知道那个特定主机。

HTB-Escape_第35张图片
HTB-Escape_第36张图片

HTB-Escape_第37张图片
NBT-NS(NetBIOS Name Service)则是通过 NetBIOS 名称识别本地网络上的系统,和LLMNR的识别
方法不同而已。所以说这两是在Micrsoft系统对DNS查找失败时,会使用这两进行本地主机解析。
xp_dirtree对指定目录的进行目录查询,可以用于网络路径。并且如你所见,它可以配合responder和impacket-smbserver来实现中继攻击。


你可能感兴趣的:(HTB,其他)